вот что написал для BIND
$ cat /opt/etc/named/named.conf
options {
listen-on { 192.168.1.1; };
allow-notify { none; };
allow-query { 192.168.1.0/24; };
allow-transfer { none; };
allow-recursion { 192.168.1.0/24; localhost; };
recursive-clients 50;
version "BLABLABLA";
};
logging {
channel "default_syslog" {
syslog local7;
severity info;
print-time no;
print-category yes;
};
channel "security_syslog" {
syslog local7;
severity info;
print-time no;
print-category yes;
};
category default { default_syslog; };
category security { security_syslog; };
category lame-servers {null;};
};
controls {
inet 127.0.0.1 allow { localhost; } keys { rndc-key; };
};
key "rndc-key" {
algorithm hmac-md5;
secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
};
$ cat /opt/etc/named/rndc.conf
options {
default-server localhost;
default-key "rndc-key";
};
server localhost {
key "rndc-key";
};
key "rndc-key" {
algorithm hmac-md5;
secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
};
$ cat /opt/etc/named/rndc.key
key "rndc-key" {
algorithm hmac-md5;
secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
};
а это для DHCP
$ cat /opt/etc/dhcpd.conf | grep -v '#'
option domain-name "local";
option domain-name-servers localhost;
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none;
authoritative;
log-facility local7;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.2 192.168.1.10;
option domain-name-servers 192.168.1.1;
option domain-name "local";
option routers 192.168.1.1;
option broadcast-address 192.168.1.255;
default-lease-time 600;
max-lease-time 7200;
}
host host1 {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.1.2;
}
host host2 {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.1.3;
}
host host10 {
hardware ethernet xx:xx:xx:xx:xx:xx;
fixed-address 192.168.1.10;
}
ЗЫ проверка заключалась в дампе кэша bind и беглом его изучении, секюрности обращений к серверу извне и с чужих сетей. DHCP вообще не проверял на безопасность, вот прикрутить бы его на br0 по хорошему, а то хацкеры все адреса растащат :) поработаю над этим как-нибудь потом, если время будет..